Normalment utilitzem una bona part del nostre temps a evitar l'accés no autoritzat als nostres equips: configurem firewalls, permisos dels usuaris, ACL, creem contrasenyes segures, etc.; però poques vegades recordem protegir l'arrencada dels nostres equips.
Si una persona té accés físic a l'ordinador, podeu reiniciar-lo i canviar els paràmetres de GRUB per aconseguir accés com a administrador a l'equip. Només cal afegir un '1' o una 's' al final de la línia 'kernel' de GRUB per aconseguir aquesta classe d'accés. |
Per evitar-ho, es pot protegir GRUB mitjançant la utilització d'una contrasenya, de manera que si no es coneix, no sigui possible modificar-ne els paràmetres.
Si teniu instal·lat el gestor d'arrencada GRUB (que és el més comú si utilitzeu les distribucions Linux més populars), podeu protegir cada entrada del menú de GRUB amb una contrasenya. D'aquesta manera, cada vegada que trieu un sistema operatiu per arrencar, us demanarà la contrasenya que heu especificat per poder arrencar el sistema. I com a benefici addicional, si et roben l'equip, els intrusos no podran accedir als teus fitxers. Se sent bé, no?
GRUB 2
Per a cada entrada del Grub es pot establir un usuari amb privilegis per modificar els paràmetres de les entrades que apareixen GRUB en iniciar el sistema, a banda del superusuari (aquell que té accés per modificar el Grub prement la tecla “e” ). Això ho farem al fitxer /etc/grub.d/00_header. Obrim el fitxer amb el nostre editor preferit:
sudo nano /etc/grub.d/00_header
Al final vaig enganxar el següent:
cat < < EOF
set superusers=”user1″
password user1 password1
EOF
On user1 és el superusuari, exemple:
cat < < EOF
set superusers=”superusuari”
password superusuari 123456
EOF
Per crear més usuaris, afegeix-los a sota:
password superusuari 123456
Quedaria més o menys de la manera següent:
cat < < EOF
set superusers="superusuari"
password superusuari 123456
password usuari2 7890
EOF
Un cop establert els usuaris que vulguem, guardem els canvis.
Protegir Windows
Per protegir Windows cal editar el fitxer /etc/grub.d/30_os-prober.
sudo nano /etc/grub.d/30_os-prober
Cerca una línia de codi que diu:
menuentry "${LONGNAME} (on ${DEVICE})" {
Ha de quedar així (sent superusuari el nom del superusuari):
menuentry "${LONGNAME} (on ${DEVICE})" –users superusuari {
Deseu els canvis i executeu:
sudo update-grub
Vaig obrir el fitxer /boot/grub/grub.cfg:
sudo nano grub.cfg
I on hi ha l'entrada de Windows (una cosa semblant a això):
menuentry "Windows XP Professional" {
canvia-ho per això (sent usuari2 el nom de l'usuari que tingui privilegis per accedir):
menuentry "Windows XP Professional" –users usuari2 {
Reinicieu i llest. Ara, quan intenteu entrar a Windows us demanarà la contrasenya. Si premeu la tecla “e” també us demanarà la contrasenya.
Protegir Linux
Per protegir les entrades del nucli de Linux editeu el fitxer /etc/grub.d/10_linux, i busqueu la línia que diu:
menuentry "$1" {
Si només voleu que pugui accedir el superusuari hauria de quedar així:
menuentry "$1" –users user1 {
Si voleu que hi pugui accedir un segon usuari:
menuentry "$1" –users usuari2 {
També podeu protegir l'entrada de la comprovació de memòria, editant el fitxer /etc/grub.d/20_memtest:
menuentry "Memory test (memtest86+)" –users superusuari {
Protegir totes les entrades
Per protegir totes les entrades executeu:
sudo set -i -e '/^menuentry /s/ {/ –users superusuari {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober /etc/ grub.d/40_custom
Per desfer aquest pas, executeu:
sudo set -i -e '/^menuentry /s/ –users superusuari[/B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom
GRUB
Comencem obrint l´entorn de GRUB. Vaig obrir una terminal i vaig escriure:
menjar
Després, vaig introduir la següent ordre:
md5crypt
Et preguntarà la contrasenya que vols utilitzar. Escribilla i perisonà Enter. Obtindràs una contrasenya xifrada, que has de guardar amb molt de compte. Ara, amb permisos d'administrador, vaig obrir el fitxer /boot/grub/menu.lst amb el teu editor de text favorit:
sudo gedit /boot/grub/menu.lst
Per posar la contrasenya a les entrades del menú de GRUB que prefereixis, has d'afegir el següent a cadascuna de les entrades que vols protegir:
password --md5 la meva_contrasenya
On la meva_contrasenya seria la contrasenya (encriptada) retornada per md5crypt: Abans:
title Ubuntu, kernel 2.6.8.1-2-386 (recovery mode)
arrel (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
després:
title Ubuntu, kernel 2.6.8.1-2-386 (recovery mode)
arrel (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
Deseu el fitxer i reinicieu. Així de fàcil! Per evitar, no només que algun malintencionat pugui canviar els paràmetres de configuració de l'entrada protegida, sinó que tampoc pugui ni tan sols iniciar aquest sistema, podeu afegir una línia a l'entrada «protegida», després del paràmetre title. Seguint el nostre exemple, quedaria una cosa així:
title Ubuntu, kernel 2.6.8.1-2-386 (recovery mode)
bloquejar
arrel (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
La propera vegada que algú vol iniciar aquest sistema, haureu d'introduir la contrasenya.
font: Delanover & Maquillatge de & Fòrums d'Ubuntu & Elavdeveloper
Hola vull dajuda si us plau vull protegir el nucli del meu sistema android amb una contrasenya ja que si em roben el dispositiu canvien la ROM i no podria recuperar mai!! Si em poden ajudar… tinc accés a superusuari, però vull que em demani un pass al moment que poses l'equip en mode de baixada. Gràcies per endavant.
Excel·lent aportació. Subscrit